ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОЛОЖЕНИЕ
от 17 апреля 2019 года N 683-П
Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента
(с изменениями на 6 декабря 2023 года)
____________________________________________________________________
Документ с изменениями, внесенными:
указанием Банка России от 18 февраля 2022 года N 6071-У (Официальный сайт Банка России www.cbr.ru, 28.06.2022) (вступило в силу с 1 октября 2022 года);
указанием Банка России от 6 декабря 2023 года N 6620-У (Официальный сайт Банка России www.cbr.ru, 27.12.2023).
____________________________________________________________________
На основании статьи 57_4 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст.2790; 2003, N 2, ст.157; N 52, ст.5032; 2004, N 27, ст.2711; N 31, ст.3233; 2005, N 25, ст.2426; N 30, ст.3101; 2006, N 19, ст.2061; N 25, ст.2648; 2007, N 1, ст.9, ст.10; N 10, ст.1151; N 18, ст.2117; 2008, N 42, ст.4696, ст.4699; N 44, ст.4982; N 52, ст.6229, ст.6231; 2009, N 1, ст.25; N 29, ст.3629; N 48, ст.5731; 2010, N 45, ст.5756; 2011, N 7, ст.907; N 27, ст.3873; N 43, ст.5973; N 48, ст.6728; 2012, N 50, ст.6954; N 53, ст.7591, ст.7607; 2013, N 11, ст.1076; N 14, ст.1649; N 19, ст.2329; N 27, ст.3438, ст.3476, ст.3477; N 30, ст.4084; N 49, ст.6336; N 51, ст.6695, ст.6699; N 52, ст.6975; 2014, N 19, ст.2311, ст.2317; N 27, ст.3634; N 30, ст.4219; N 40, ст.5318; N 45, ст.6154; N 52, ст.7543; 2015, N 1, ст.4, ст.37; N 27, ст.3958, ст.4001; N 29, ст.4348, ст.4357; N 41, ст.5639; N 48, ст.6699; 2016, N 1, ст.23, ст.46, ст.50; N 26, ст.3891; N 27, ст.4225, ст.4273, ст.4295; 2017, N 1, ст.46; N 14, ст.1997; N 18, ст.2661, ст.2669; N 27, ст.3950; N 30, ст.4456; N 31, ст.4830; N 50, ст.7562; 2018, N 1, ст.66; N 9, ст.1286; N 11, ст.1584, ст.1588; N 18, ст.2557; N 24, ст.3400; N 27, ст.3950; N 31, ст.4852; N 32, ст.5115; N 49, ст.7524; N 53, ст.8411, ст.8440) настоящее Положение устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента.
1. Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента применяются для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств (далее соответственно - автоматизированные системы, защищаемая информация, осуществление банковских операций):
информации, содержащейся в документах, составленных при осуществлении банковских операций в электронном виде (далее - электронные сообщения), формируемых работниками кредитных организаций (далее - работники) и (или) клиентами кредитных организаций (далее -клиенты);
информации, необходимой для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами;
информации об осуществленных банковских операциях;
информации, связанной с приемом к исполнению и исполнением распоряжений пользователя платформы цифрового рубля;
(Абзац в редакции, введенной в действие с 7 января 2024 года указанием Банка России от 6 декабря 2023 года N 6620-У. - См. предыдущую редакцию)
ключевой информации средств криптографической защиты информации (далее - СКЗИ), в том числе средств электронной подписи, используемой при осуществлении банковских операций (далее - криптографические ключи).
(Абзац в редакции, введенной в действие с 7 января 2024 года указанием Банка России от 6 декабря 2023 года N 6620-У. - См. предыдущую редакцию)
В случае если защищаемая информация содержит персональные данные, кредитные организации должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").
(Абзац дополнительно включен с 7 января 2024 года указанием Банка России от 6 декабря 2023 года N 6620-У)
2. Требования к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, включают в себя:
требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются кредитной организацией для осуществления банковских операций (далее - объекты информационной инфраструктуры);
требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений;
требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении технологии обработки защищаемой информации;
иные требования к обеспечению защиты информации при осуществлении банковской деятельности в соответствии с пунктами 6-9 настоящего Положения.
3. Кредитные организации должны обеспечивать выполнение следующих требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении объектов информационной инфраструктуры.
3.1. Кредитные организации должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).
Системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг, должны реализовывать усиленный уровень защиты информации.
Кредитные организации, не относящиеся к кредитным организациям, указанным в абзаце втором настоящего подпункта, должны реализовывать стандартный уровень защиты информации.
Кредитные организации, которые должны реализовывать стандартный уровень защиты информации, ставшие кредитными организациями, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце втором настоящего подпункта.
3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
4. Кредитные организации должны обеспечивать выполнение следующих требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений.
4.1. Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014).
(Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 18 февраля 2022 года N 6071-У. - См. предыдущую редакцию)
В отношении прикладного программного обеспечения автоматизированных систем и приложений, не указанных в абзаце первом настоящего подпункта, кредитные организации должны самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений.
(Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 18 февраля 2022 года N 6071-У. - См. предыдущую редакцию)
4.2. По решению кредитной организации оценка соответствия программного обеспечения автоматизированных систем и приложений проводится самостоятельно или с привлечением организации, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации для проведения работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст.863; 2016, N 26, ст.4049) (далее - проверяющая организация).
(Пункт в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 18 февраля 2022 года N 6071-У. - См. предыдущую редакцию)
4.3. В случае принятия кредитной организацией решения о необходимости проведения сертификации программного обеспечения автоматизированных систем и приложений кредитные организации, являющиеся системно значимыми кредитными организациями, кредитными организациями, значимыми на рынке платежных услуг (в отношении программного обеспечения автоматизированных систем и приложений, указанных в пункте 1.2 Положения Банка России от 4 июня 2020 года N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированного Министерством юстиции Российской Федерации 23 сентября 2020 года N 59991), должны обеспечить сертификацию программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76, зарегистрированным Министерством юстиции Российской Федерации 11 сентября 2020 года N 59772 (далее - приказ ФСТЭК России N 76).
Кредитные организации, принявшие решение о необходимости проведения сертификации программного обеспечения автоматизированных систем и приложений и не указанные в абзаце первом настоящего подпункта, должны обеспечить сертификацию программного обеспечения автоматизированных систем и приложений не ниже 5 уровня доверия в соответствии с приказом ФСТЭК России N 76.
(Пункт дополнительно включен с 1 октября 2022 года указанием Банка России от 18 февраля 2022 года N 6071-У)
5. Кредитные организации должны обеспечивать выполнение следующих требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении технологии обработки защищаемой информации.
5.1. Кредитные организации должны обеспечить целостность электронных сообщений и подтвердить их составление уполномоченным на это лицом.
В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
Указанные в абзаце втором настоящего подпункта требования по реализации мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения, не применяются в случае, если в целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом при передаче электронных сообщений используются выделенные контролируемые сегменты вычислительных сетей, доступ к которым нарушителем невозможен, и угрозы нарушения целостности электронных сообщений определены кредитными организациями как неактуальные, что обосновано в модели угроз и нарушителей безопасности информации.
Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст.2036; 2019, N 52, ст.7794) (далее - Федеральный закон "Об электронной подписи").
(Подпункт в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 18 февраля 2022 года N 6071-У. - См. предыдущую редакцию)
5.2. Кредитные организации должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации, указанной в абзацах втором - пятом пункта 1 настоящего Положения, при совершении следующих действий (далее - технологические участки):
(Абзац в редакции, введенной в действие с 7 января 2024 года указанием Банка России от 6 декабря 2023 года N 6620-У. - См. предыдущую редакцию)
идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций, в том числе идентификация клиентов при создании сертификатов ключей проверки электронных подписей и выдаче таких сертификатов клиентам в соответствии с требованиями пункта 1 части 1 статьи 13 Федерального закона "Об электронной подписи" в целях осуществления операций с цифровыми рублями;
(Абзац в редакции, введенной в действие с 7 января 2024 года указанием Банка России от 6 декабря 2023 года N 6620-У. - См. предыдущую редакцию)
формирование (подготовка), передача и прием электронных сообщений;
удостоверение права клиентов распоряжаться денежными средствами;
осуществление банковской операции, учет результатов ее осуществления;
хранение электронных сообщений и информации об осуществленных банковских операциях.
5.2.1. Технология обработки защищаемой информации, применяемая на всех технологических участках, указанных в настоящем пункте, должна обеспечивать целостность и достоверность защищаемой информации.
Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце втором подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать идентификацию устройств клиентов при осуществлении банковских операций с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций.
В случае если банковская операция осуществляется с использованием мобильной версии приложения, кредитные организации в рамках реализуемой ими системы управления рисками должны обеспечить проверку использования клиентом - физическим лицом абонентского номера подвижной радиотелефонной связи в случае его использования во взаимоотношениях с кредитной организацией и использовать полученные сведения при анализе характера, параметров и объема совершаемых их клиентами операций (осуществляемой клиентами деятельности).
Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце третьем подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
двойной контроль посредством осуществления проверки правильности формирования (подготовки) электронных сообщений;
входной контроль посредством осуществления проверки правильности заполнения полей электронного сообщения и прав владельца электронной подписи;
контроль дублирования электронного сообщения (в случае если проведение такой процедуры дополнительно установлено кредитной организацией с учетом положений пункта 2.2 Положения Банка России от 29 июня 2021 года N 762-П "О правилах осуществления перевода денежных средств", зарегистрированного Министерством юстиции Российской Федерации 25 августа 2021 года N 64765, 25 апреля 2022 года N 68320);
структурный контроль электронных сообщений;
защиту при передаче по каналам связи защищаемой информации.
Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце четвертом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 настоящего пункта;
получение от клиента подтверждения совершаемой банковской операции.
Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце пятом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
проверку соответствия (сверку) выходных электронных сообщений с соответствующими входными электронными сообщениями;
проверку соответствия (сверку) результатов осуществления банковских операций с информацией, содержащейся в электронных сообщениях;
направление клиентам уведомлений об осуществлении банковских операций в случае, когда такое уведомление предусмотрено законодательством Российской Федерации или договором.
Кредитные организации должны реализовывать механизмы подтверждения использования клиентом адреса электронной почты в случае его использования во взаимоотношениях с кредитной организацией, на который кредитной организацией направляются уведомления о совершаемых банковских операциях, справки (выписки) по совершенным банковским операциям.
В случае использования единой системы идентификации и аутентификации, определенной в соответствии с пунктом 5 статьи 2 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - единая система идентификации и аутентификации), кредитные организации должны соблюдать требования к обеспечению защиты информации в соответствии с Техническими требованиями к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года N 210 (зарегистрирован Минюстом России 25 августа 2015 года, регистрационный N 38668, с изменениями, внесенными приказом Министерства связи и массовых коммуникаций Российской Федерации от 22 февраля 2017 года N 71 (зарегистрирован Минюстом России 2 июня 2017 года, регистрационный N 46934), а также требования технической и эксплуатационной документации по подключению к единой системе идентификации и аутентификации.
